CHAVECLOAK バンキング型トロイの木馬がブラジルを標的

新たなサイバー脅威である CHAVECLOAK バンキング トロイの木馬は、SMS フィッシング (SMishing)、フィッシングメール、侵害された Web サイトを通じて感染を広げています。

サイバーセキュリティ研究チームである FortiGuard Labs は、特にブラジルの銀行のユーザーをターゲットにした CHAVECLOAK と呼ばれる重大度の高いトロイの木馬を特定しました。このマルウェアは Windows デバイス向けに設計されており、オンライン バンキング プラットフォームに侵入し、銀行の認証情報や財務データを抽出します。

CHAVECLOAK 感染方法の調査は進行中ですが、研究者らは潜在的な配布チャネルとしてフィッシングメール、SMS フィッシング、侵害された Web サイトが含まれているのではないかと考えています。

同社のブログ投稿によると、このキャンペーンには正規の銀行通信を装った悪意のある電子メールが含まれており、ユーザーをマルウェアのダウンロードに誘導するという。これは、DLL サイドローディングや欺瞞的なポップアップなどの手法を利用して、ポルトガル語の言語設定を持つユーザーを特にターゲットにしています。このトロイの木馬は、ユーザーと金融ポータルとのやり取りを積極的に監視します。

DLL サイドローディングは、マルウェアが疑いを抱かずに正規のプロセスを悪用できるため、重大なセキュリティ リスクをもたらします。

CHAVECLOAK 侵入モード

このマルウェアは被害者のデバイスを制御し、ポルトガル語の契約書類を装った悪意のある PDF ファイルを通じて機密の財務情報を取得します。 PDF には、Goo.su 経由で処理された悪意のあるダウンローダー リンクが含まれており、ZIP ファイルにつながり、最終的に MSI ファイル「NotafiscalGFGJKHKHGUURTURTF345.msi」が生成されます。

MSI インストーラーを解凍すると、複数の TXT ファイル、正規の実行ファイル、および「Lightshot.dll」という名前の悪意のある DLL が現れます。インストーラーは、DLL サイドローディング技術を使用してファイル「Lightshot.exe」を実行し、悪意のあるコードの慎重な実行やデータ盗難などの不正行為を可能にします。

さらに、マルウェアは「GetVolumeInformationW」プロセスを利用してファイル システムとボリューム情報を収集し、ログ ファイルを生成し、ユーザーのログイン時に「Lightshot.exe」を実行します。 API「GetForegroundWindow」および「GetWindowTextW」を使用して、HTTP リクエストを送信し、データをログに記録し、前景ウィンドウを監視します。

このトロイの木馬は C2 サーバーと通信し、資格情報の窃取、画面のブロック、キーストロークの記録、不正なポップアップ ウィンドウの表示などのアクションを容易にします。

特に、このマルウェアは、ブラジルとラテンアメリカ最大のデジタル通貨取引所であるメルカド ビットコインを含む金融ポータルへのアクセスを積極的に監視しています。メルカド ビットコインには、従来の通貨と仮想通貨の両方のプラットフォームと従来の銀行が含まれます。

マルウェアがアカウントの詳細を設定して POST リクエストを送信すると、盗まれた情報がさまざまなパスにアップロードされ、現代のバンキング トロイの木馬の巧妙さを浮き彫りにしています。